본문 바로가기
* IT/자격증

2025년 정보보안기사 필기 시험 및 기출문제 - 3

Twodragon 2025. 2. 23. 07:46

 

 

문제 1. 사용자 기반 역할 부여 및 통제하는 방법은 무엇인가?

  1. 역할기반 접근통제
  2. 임의적 접근통제
  3. 식별 기반 접근통제
  4. 정책 기반 접근통제

정답 및 해설:

정답: 1

해설: 역할기반 접근통제(RBAC)는 사용자의 직무나 역할에 따라 권한을 할당하여 최소 권한 원칙을 효과적으로 적용하는 방법입니다.

문제 2. 스니핑에 대한 설명 중 틀린 것은 무엇인가?

  1. 네트워크 상의 패킷을 몰래 수집한다.
  2. 공격자가 데이터를 수집하기 위해 패킷을 분석한다.
  3. 스니핑은 능동적 공격이다.
  4. 스니핑은 주로 수동적 공격으로 분류된다.

정답 및 해설:

정답: 3

해설: 스니핑은 네트워크 트래픽을 단순히 관찰하여 정보를 수집하는 수동적 공격 방식입니다. “능동적 공격”이라는 설명은 잘못되었습니다.

문제 3. 공격자가 특정 암호문의 복호화 결과에 접근할 수 있을 때 사용하는 기법은 무엇인가?

  1. 선택 암호문 공격
  2. 평문 공격
  3. 알려진 평문 공격
  4. 중간자 공격

정답 및 해설:

정답: 1

해설: 선택 암호문 공격은 공격자가 임의로 선택한 암호문의 복호화 결과를 얻을 수 있을 때, 이를 이용하여 암호 시스템의 취약점을 분석하는 기법입니다.

문제 4. 다음 암호 알고리즘을 Feistel 구조와 SPN 구조로 올바르게 분류한 것은?

  1. Feistel 구조: DES, Blowfish, 3DES, IDEA / SPN 구조: AES, ARIA, LEA, SAFER
  2. Feistel 구조: AES, ARIA, LEA, SAFER / SPN 구조: DES, Blowfish, 3DES, IDEA
  3. Feistel 구조: DES, AES, 3DES, IDEA / SPN 구조: Blowfish, ARIA, LEA, SAFER
  4. Feistel 구조: DES, Blowfish, AES, IDEA / SPN 구조: 3DES, ARIA, LEA, SAFER

정답 및 해설:

정답: 1

해설: DES, Blowfish, 3DES, IDEA는 Feistel 구조의 대표적인 알고리즘이며, AES, ARIA, LEA, SAFER는 SPN(Substitution-Permutation Network) 구조에 속합니다.

문제 5. 침해사고 발생 시 조직이 취해야 할 대응 순서로 올바른 것은?

  1. 사고 전 준비 → 사고 탐지 → 초기 대응 → 대응전략 체계화 → 사고 조사 → 보고서 작성
  2. 사고 탐지 → 사고 전 준비 → 초기 대응 → 사고 조사 → 대응전략 체계화 → 보고서 작성
  3. 사고 전 준비 → 초기 대응 → 사고 탐지 → 사고 조사 → 대응전략 체계화 → 보고서 작성
  4. 사고 전 준비 → 사고 탐지 → 대응전략 체계화 → 초기 대응 → 사고 조사 → 보고서 작성

정답 및 해설:

정답: 1

해설: 효과적인 침해사고 대응은 사전 준비(예방 및 교육)에서 시작하여, 사고 발생 시 탐지, 신속한 초기 대응, 체계적인 대응전략 수립, 철저한 사고 조사, 그리고 최종 보고서 작성 순으로 진행되어야 합니다.

문제 6. 다음 중 데이터베이스 보안 기능과 거리가 먼 것은?

  1. 접근제어
  2. 암호화
  3. 데이터 집계 연산
  4. 감사 및 로깅

정답 및 해설:

정답: 3

해설: 데이터 집계 연산은 여러 행의 데이터를 요약하는 기능으로, 데이터베이스의 보안 기능(접근제어, 암호화, 감사 및 로깅)과는 직접적인 관련이 없습니다.

문제 7. 위험 처리 방안 중 실제로 채택 가능한 방안은 무엇인가?

  1. 위험 회피
  2. 위험 이전
  3. 위험 감소
  4. 위험 수용

정답 및 해설:

정답: 4

해설: 위험 수용은 통제 비용 대비 위험 수준이 낮거나 완전히 제거하기 어려운 경우, 일부 위험을 감수하는 전략으로 현실적인 상황에서 채택될 수 있습니다.

문제 8. 쿠키에 대한 설명 중 틀린 것은 무엇인가?

  1. 쿠키는 클라이언트의 브라우저에 저장된다.
  2. 쿠키는 웹 서버에 의해 발급된다.
  3. IP 주소 등이 바뀌어도 항상 동일하게 유지된다.
  4. 쿠키는 사용자의 세션 정보를 유지하는 데 사용된다.

정답 및 해설:

정답: 3

해설: 쿠키는 클라이언트 브라우저에 저장되며, 환경(예: IP 주소 변경)에 따라 유효성이나 재발급 여부가 달라질 수 있으므로 “항상 동일하게 유지된다”는 설명은 옳지 않습니다.

문제 9. CC(Common Criteria) 평가 등급에 대한 설명으로 옳은 것은 무엇인가?

  1. CC 인증은 ISO/IEC 15408 표준에 따른 평가 체계이다.
  2. CC 인증은 자체적인 국가 표준에 기반한다.
  3. CC 인증은 주로 미국 정부의 보안 지침을 따른다.
  4. CC 인증은 국제 표준이 아니라 사설 평가 기관에 의존한다.

정답 및 해설:

정답: 1

해설: CC(Common Criteria)는 국제 표준인 ISO/IEC 15408에 기반한 보안 평가 체계로, 제품의 보안 보증 수준을 평가하는 데 사용됩니다.

문제 10. 전자상거래 거래 시 이중서명에 대한 설명 중 틀린 것은 무엇인가?

  1. 이중서명은 거래 내역의 무결성을 보장한다.
  2. 이중서명은 위변조 방지 및 분쟁 대비를 위한 서명 기술이다.
  3. 이중서명은 전자상거래 프로토콜로서 주문정보와 지불정보를 안전하게 이용할 수 있도록 한다.
  4. 이중서명은 거래 당사자 간의 신뢰성을 높이기 위한 보안 기법이다.

정답 및 해설:

정답: 3

해설: 이중서명은 거래 내역의 위변조를 방지하고 분쟁 시 증거로 활용하기 위한 서명 기법이지, 전자상거래 프로토콜 자체가 아닙니다.

문제 11. 이중서명의 특징에 대한 설명 중 틀린 것은 무엇인가?

  1. 이중서명은 분쟁 대비를 위해 두 메시지 간의 연관성이 구현되어야 한다.
  2. 구매자의 주문정보와 지불정보가 필요 이상으로 전달되지 않아야 한다.
  3. 이중서명은 SSL에서 도입된 기술로, 고객의 카드 정보를 상인에게 전달하면 상인이 유효성을 확인한다.
  4. 구매자는 최종 메시지 다이제스트를 자신의 개인 서명키로 암호화하여 이중서명을 생성한다.

정답 및 해설:

정답: 3

해설: 이중서명은 SSL과는 별개의 기법으로, SSL은 안전한 통신 채널을 위한 프로토콜이며, 이중서명은 거래 내역의 무결성 보장을 위한 서명 방식입니다.

문제 12. 전자상거래에서 이중서명에 대한 설명 중 잘못된 것은 무엇인가?

  1. 카드 결제 시 계좌 정보나 구매 물품 목록의 노출을 방지하는 효과가 있다.
  2. 이중서명의 검증은 위변조 여부 확인에 국한되어 있으며 사용자 인증은 포함되지 않는다.
  3. 판매자가 결제정보를 위변조하는 것을 방지한다.
  4. 이중서명에 대한 검증은 판매자가 수행한다.

정답 및 해설:

정답: 4

해설: 이중서명의 검증은 신뢰성을 위해 독립적 절차나 제3의 기관에 의해 수행되어야 하며, 단독으로 판매자가 수행하는 것은 부적절합니다.

문제 13. 블록체인의 핵심 요소로 옳은 것은 무엇인가?

  1. 채굴과 인증
  2. 채굴과 암호화
  3. 인증과 트랜잭션 기록
  4. 암호화와 데이터 마이닝

정답 및 해설:

정답: 1

해설: 블록체인에서는 새로운 블록 생성을 위한 채굴과, 네트워크 합의 및 거래 검증을 위한 인증(합의 알고리즘)이 핵심적인 요소입니다.

문제 14. 악성코드의 발전 단계 순서로 올바른 것은 무엇인가?

  1. 원시 → 암호 → 은폐 → 갑옷 → 매크로
  2. 암호 → 원시 → 은폐 → 갑옷 → 매크로
  3. 원시 → 은폐 → 암호 → 갑옷 → 매크로
  4. 원시 → 암호 → 갑옷 → 은폐 → 매크로

정답 및 해설:

정답: 1

해설: 악성코드는 처음 원시(단순한) 상태에서 시작하여, 분석을 어렵게 하기 위해 암호화(암호)와 은폐 기법을 도입한 후, 추가 방어(갑옷) 및 확산(매크로) 기법을 발전시킵니다.

문제 15. Windows 레지스트리 저장 파일에 대한 설명 중 옳은 것은 무엇인가?

  1. System.ystem.dat는 시스템 전체의 설정 및 하드웨어 정보를, user.dat는 사용자 개별의 환경 설정을 저장한다.
  2. System.ystem.dat는 사용자 환경 설정을, user.dat는 시스템 설정을 저장한다.
  3. 두 파일 모두 시스템 전체의 설정만 저장한다.
  4. 두 파일 모두 사용자 개별 환경 설정만 저장한다.

정답 및 해설:

정답: 1

해설: Windows 레지스트리에서 SYSTEM hive(예, System.ystem.dat)는 시스템 관련 설정과 하드웨어 구성을, USER hive(예, user.dat)는 개별 사용자 환경 및 설정 정보를 저장합니다.

문제 16. 위험 평가 기법 중 정성적 기법에 대한 설명으로 틀린 것은 무엇인가?

  1. 전문가의 주관적 의견에 의존한다.
  2. 수치화하기 어려운 요소들을 분석한다.
  3. 정량적 기법과 달리 서술적 평가에 중점을 둔다.
  4. 수치화할 수 있다.

정답 및 해설:

정답: 4

해설: 정성적 기법은 수치보다는 전문가의 서술적 평가와 주관적 판단에 의존하는 방법으로, 수치화하는 것이 어렵다는 점이 특징입니다.

문제 17. BIA(비즈니스 영향 분석) 고려사항과 관련하여 옳지 않은 것은 무엇인가?

  1. 비즈니스 영향도 분석
  2. 업무 연속성 전략 수립
  3. 재해복구(DRP) 계획 수립
  4. 비상대응 팀 구성 및 훈련

정답 및 해설:

정답: 2

해설: BIA는 업무 중단 시 각 비즈니스 프로세스에 미치는 영향을 분석하는 활동이지, 재해나 위기 상황에서 핵심 비즈니스를 유지·복구하기 위한 전체 BCP(비즈니스 연속성 계획)를 수립하는 활동은 아닙니다.

문제 18. 클라우드 보안인증제에서 인증 범위가 변경될 때 수행하는 평가는 무엇인가?

  1. 최초평가
  2. 정기평가
  3. 갱신평가
  4. 사후평가

정답 및 해설:

정답: 1

해설: 클라우드 보안인증제에서 새로운 범위가 처음으로 인증을 받거나 기존 범위가 크게 변경된 경우에는 최초평가를 수행하여 변경 사항을 반영합니다.

문제 19. 소프트웨어 보안약점과 관련하여 입력 데이터 검증 및 표현에 대한 설명 중 틀린 것은 무엇인가?

  1. HTTP 프로토콜의 유효성을 검증한다.
  2. 업로드 및 다운로드 파일에 대해 검증을 수행한다.
  3. 허용된 범위 내 메모리 접근을 확인한다.
  4. 위의 모든 항목이 입력 데이터 검증에 포함된다.

정답 및 해설:

정답: 3

해설: 입력 데이터 검증은 외부에서 들어오는 데이터의 형식, 길이, 범위 등을 확인하는 절차입니다. “허용된 범위 내 메모리 접근”은 런타임 메모리 안전과 관련된 사항이지 입력값 자체의 검증과는 성격이 다릅니다.

문제 20. 보안 담당자가 자바스크립트 파일을 분석하던 중, 코드의 가독성을 낮추기 위해 의도적으로 내용을 복잡하게 만든 기법은 무엇인가?

  1. 암호화
  2. 난독화
  3. 복호화
  4. 정규화

정답 및 해설:

정답: 2

해설: 난독화(Obfuscation)는 코드의 의미를 숨기고 분석을 어렵게 하기 위해 변수명, 함수명 등을 임의로 변경하거나 복잡한 구조로 만드는 기법입니다.

문제 21. NAC(Network Access Control)에 대한 설명으로 옳은 것은 무엇인가?

  1. NAC는 네트워크 접근 통제와 함께 무결성 확인 기능을 제공한다.
  2. NAC는 네트워크 트래픽 암호화에 중점을 둔다.
  3. NAC는 오직 사용자 인증만을 담당한다.
  4. NAC는 주로 데이터베이스 보안에 적용된다.

정답 및 해설:

정답: 1

해설: NAC는 네트워크에 접속하는 장치의 식별 및 접근 제어뿐 아니라, 연결된 장비의 상태(예, 보안 패치 적용 여부 등)를 확인하여 무결성을 확보하는 역할도 수행합니다.

문제 22. 오픈소스 스팸 필터링 도구인 SpamAssassin에서 스팸 분류 기준으로 사용되지 않는 항목은 무엇인가?

  1. 헤더 검사
  2. 본문 내용 검사
  3. MAC 주소 검사
  4. 베이시언 필터링

정답 및 해설:

정답: 3

해설: SpamAssassin은 메일 헤더, 본문 내용, 규칙 기반 점수 산출 및 베이시언 필터링 등 다양한 기법을 사용하지만, 메일에 포함된 MAC 주소는 확인하지 않습니다.

문제 23. 코드 최적화를 위한 기법에 대해 옳은 설명은 무엇인가?

  1. 불필요한 클래스와 함수를 제거하고 통합하여 코드의 효율성을 높인다.
  2. 클래스명 변경은 코드 난독화와 동일한 효과를 가져온다.
  3. 코드 최적화는 오직 실행 속도 개선에만 초점을 맞춘다.
  4. 클래스명 변경은 보안상의 의미가 없으므로 최적화에 포함되지 않는다.

정답 및 해설:

정답: 1

해설: 코드 최적화는 불필요한 클래스나 함수의 제거, 중복 코드 통합 등으로 코드의 효율성과 유지보수성을 향상시키는 작업을 의미합니다.

문제 24. 이중서명을 수행하기 전에 해시 함수를 사용하는 이유로 옳은 것은 무엇인가?

  1. 메시지 길이가 길면 서명 처리 속도가 빨라진다.
  2. 메시지 길이가 짧으면 서명 처리 속도가 빨라진다.
  3. 해시값의 길이가 짧아 서명 연산을 빠르게 수행할 수 있다.
  4. 해시값의 길이가 길어 보안성이 증가하기 때문이다.

정답 및 해설:

정답: 3

해설: 원문 전체를 서명하는 대신 고정된 짧은 길이의 해시값을 서명하면, 연산량이 줄어들어 서명 및 검증 속도가 향상됩니다.

문제 25. Kerberos에 대한 설명 중 옳지 않은 것은 무엇인가?

  1. Kerberos는 MIT에서 개발한 중앙 집중식 인증 시스템이다.
  2. Kerberos는 대칭키 기반의 인증 시스템을 사용한다.
  3. 약한 비밀번호 사용 시 보안 취약점이 발생할 수 있다.
  4. Kerberos는 공개키 기반의 인증 시스템이다.

정답 및 해설:

정답: 4

해설: Kerberos는 사용자와 서버 간의 신뢰성 있는 인증을 위해 대칭키 암호 방식을 사용하며, 공개키 기반 암호 시스템은 사용하지 않습니다.

문제 26. Kerberos에 관한 설명 중 올바르지 않은 것은 무엇인가?

  1. Kerberos는 비밀키(대칭키) 인증 프로토콜이다.
  2. Kerberos는 Single Sign-On(SSO) 기능을 지원한다.
  3. Kerberos는 암호화 인증을 위해 RSA를 사용한다.
  4. Kerberos는 사용자와 네트워크 서비스 모두를 인증할 수 있다.

정답 및 해설:

정답: 3

해설: Kerberos는 대칭키 암호화 방식을 기반으로 하며, RSA와 같은 공개키 암호화 기법은 사용하지 않습니다.

문제 27. 공개키 기반구조(PKI)의 응용분야에 속하지 않는 것은 무엇인가?

  1. SET
  2. S/MIME
  3. PGP
  4. Kerberos

정답 및 해설:

정답: 4

해설: PKI는 공개키 암호체계를 활용한 응용분야(예: SET, S/MIME, PGP)에 적용되지만, Kerberos는 대칭키 기반의 인증 시스템입니다.

문제 28. Kerberos 프로토콜에서 티켓에 포함되지 않는 항목은 무엇인가?

  1. 서버 ID
  2. 클라이언트 ID
  3. 서버의 네트워크 주소
  4. 티켓의 유효기간

정답 및 해설:

정답: 3

해설: Kerberos 티켓에는 클라이언트와 서버의 식별자, 세션 키, 티켓 유효기간 등 중요한 정보가 포함되지만, 일반적으로 서버의 네트워크 주소는 포함되지 않습니다.

문제 29. 다음 중 Kerberos에 대한 설명으로 옳지 않은 것은 무엇인가?

  1. MIT에서 개발한 분산 환경 하에서 개체 인증 서비스를 제공한다.
  2. 클라이언트와 인증 서버, 티켓 발급 서버(TGS)를 사용하여 인증을 수행한다.
  3. Kerberos는 공개키 기반으로 만들어졌다.
  4. Kerberos는 대칭키 암호 방식을 사용한다.

정답 및 해설:

정답: 3

해설: Kerberos는 공개키 암호화를 사용하지 않고 대칭키 암호 방식을 기반으로 하는 인증 시스템입니다.

문제 30. 디바이스 인증 기술에 포함되지 않는 것은 무엇인가?

  1. 아이디-패스워드 인증
  2. 암호 프로토콜 인증
  3. 시도-응답 인증
  4. Kerberos

정답 및 해설:

정답: 4

해설: 디바이스 인증 기술은 보통 아이디/패스워드, 암호 기반 프로토콜, 시도-응답 방식 등을 사용하며, Kerberos는 네트워크 전반의 사용자 및 서비스 인증을 위한 시스템입니다.

문제 31. 다음 중 Kerberos에 대한 설명으로 올바르지 않은 것은 무엇인가?

  1. Kerberos는 패스워드 추측 공격에 취약할 수 있다.
  2. Kerberos는 공개키 방식을 이용하여 티켓을 발급한다.
  3. Kerberos는 MIT에서 개발한 분산 환경에서 개체 인증 서비스를 제공한다.
  4. Kerberos는 4개의 개체(클라이언트, AS, TGS, 서버)로 구성된다.

정답 및 해설:

정답: 2

해설: Kerberos는 티켓 발급 등 모든 인증 과정을 대칭키 암호화를 통해 수행하며, 공개키 방식을 사용하지 않습니다.

문제 32. 다음 중 키 사전 분배 방식에 대한 설명으로 올바르지 않은 것은 무엇인가?

  1. 중앙 집중식 방식은 가입자가 비밀 통신을 할 때마다 KDC로부터 세션키를 분배받는다.
  2. Blom 방식은 두 노드 간 임의 함수 값을 교환하여 세션키를 생성한다.
  3. 중앙 집중식 방식의 대표적인 분배 방식은 Kerberos 방식이다.
  4. 중앙 집중식 방식에서는 암호 통신 시마다 세션키를 변경할 필요가 없다.

정답 및 해설:

정답: 4

해설: 중앙 집중식 키 분배 방식에서는 보안을 위해 일반적으로 통신마다 새로운 세션키를 생성하여 사용하는 것이 원칙입니다.

문제 33. 다음 중 Kerberos의 특징이 아닌 것은 무엇인가?

  1. 재생 공격(replay attack)을 예방할 수 있다.
  2. 데이터의 무결성을 제공할 수 있다.
  3. 타임스템프(timestamp)를 사용하지 않는다.
  4. 대칭키를 이용하여 기밀성을 제공할 수 있다.

정답 및 해설:

정답: 3

해설: Kerberos는 재생 공격 방지와 시간 동기화를 위해 타임스템프를 사용하므로 “타임스템프를 사용하지 않는다”는 설명은 옳지 않습니다.

문제 34. Kerberos의 기능과 가장 거리가 먼 것은 무엇인가?

  1. 네트워크 응용 프로그램이 상대방의 신원을 식별할 수 있도록 한다.
  2. 파일 서버, 터미널 서버, 데이터베이스 서버 등 다양한 서비스를 지원한다.
  3. 기밀성, 가용성, 무결성과 같은 보안 서비스를 직접 제공한다.
  4. 한 번의 인증으로 여러 서버에 접근할 수 있도록 한다.

정답 및 해설:

정답: 3

해설: Kerberos는 주로 인증과 단일 로그인(SSO)을 제공하며, 기밀성이나 무결성 등 전체 보안 서비스를 직접 제공하는 것은 아닙니다.

문제 35. 다음 중 'Kerberos'의 세 가지 주요 요소에 속하지 않는 것은 무엇인가?

  1. 사용자
  2. 클라이언트
  3. SSO(Single Sign-On) 서버
  4. 서비스 서버

정답 및 해설:

정답: 3

해설: Kerberos의 구성 요소는 클라이언트, 인증 서버(AS와 TGS를 포함한 KDC) 및 서비스 서버로 구성되며, SSO는 Kerberos가 제공하는 기능이지 별도의 구성 요소는 아닙니다.

문제 36. 다음 중 Kerberos의 구성요소에 속하지 않는 것은 무엇인가?

  1. KDC (Key Distribution Center)
  2. TGS (Ticket Granting Service)
  3. AS (Authentication Service)
  4. TS (Token Service)

정답 및 해설:

정답: 4

해설: Kerberos의 핵심 구성 요소는 KDC, 그 산하의 AS와 TGS이며, TS(Token Service)는 Kerberos 체계에 포함되지 않습니다.

문제 37. 다음 중 공개키 기반구조(PKI)에서 최상위 인증기관을 무엇이라고 하는가?

  1. RA
  2. PMI
  3. Root CA
  4. OCSP

정답 및 해설:

정답: 3

해설: 공개키 기반구조(PKI)에서 최상위 인증기관은 다른 하위 인증기관에 인증서를 발급할 수 있는 최상위 기관으로, 일반적으로 Root CA라고 부릅니다.

문제 38. 다음 중 전자화폐 시스템에 대한 일반적 모델로 프로토콜 구성이 올바르지 않은 것은?

  1. 예치: 상점서버 ↔ 금융기관
  2. 지불: 상점서버 ↔ 사용자
  3. 인출: 사용자 ↔ 금융기관
  4. 인증: 지불서버 ↔ 인증기관

정답 및 해설:

정답: 4

해설: 전자화폐 시스템의 일반적 모델에서는 예치, 지불, 인출 단계가 주된 프로세스입니다. ‘인증’ 단계는 보통 별도의 인증체계(CA 등)를 통해 이루어지며, 지불서버와 인증기관 간의 직접 프로토콜 구성은 일반적이지 않습니다.

문제 39. 다음 중 X.509v2 인증서의 설명으로 올바르지 못한 것은?

  1. 인증서 취소 목록(CRL)을 도입하였다.
  2. 주체 고유 식별자를 사용하였다.
  3. 인증기관 고유 ID를 도입하였다.
  4. 확장자 개념이 도입되었다.

정답 및 해설:

정답: 4

해설: 확장자(extension) 개념은 X.509v3에서 처음 도입된 기능으로, X.509v2에는 포함되어 있지 않습니다.

문제 40. 다음 중 공개키 기반구조(PKI)의 구성요소에 해당하지 않는 것은?

  1. 인증기관(CA)
  2. 등록기관(RA)
  3. 공개키 인증서의 소유자
  4. 비밀키 인증서와 CRL을 저장하는 저장소

정답 및 해설:

정답: 4

해설: PKI의 핵심 구성요소는 CA, RA, 그리고 인증서 소유자(주체)이며, 비밀키(개인키)는 사용자만이 보유하고 CRL(인증서 폐기 목록)은 공개적으로 관리되는 리스트로, 별도의 저장소가 PKI 구성요소로 포함되지는 않습니다.

문제 41. 다음 중 WPKI 구성요소의 역할을 잘못 기술한 것은?

  1. 인증기관(CA): 인증서 발급
  2. 등록기관(RA): 인증서 폐지
  3. 사용자(Client): 인증서 발급 및 관리 요청
  4. 디렉터리(Directory): CA가 발행한 인증서 정보 저장

정답 및 해설:

정답: 2

해설: 등록기관(RA)의 역할은 사용자 신원 확인 후 인증서 발급 요청을 CA에 전달하는 것이지, 인증서 폐지(revocation)를 담당하지 않습니다.

문제 42. 다음 설명 중 옳지 않은 것은?

  1. 사용자의 인증서에 CA의 올바른 전자서명이 있고, 인증서의 유효기간이 남아있으면 신뢰할 수 있다.
  2. 개인키가 제대로 관리되더라도 인증서는 폐지될 수 있다.
  3. 인증서가 폐지되면 CRL에 추가되고, 폐지 대상 인증서 목록에 CA의 전자서명이 첨부된다.
  4. 인증서에 포함된 공개키의 진위를 확인하려면 CA의 공개키가 필요하다.

정답 및 해설:

정답: 2

해설: 일반적으로 인증서 폐지는 개인키 유출, 소유자 변경 등 문제가 발생할 경우에 이루어집니다. 개인키가 제대로 관리되고 있다면 폐지 사유가 되지 않으므로, ②번 설명은 부적절합니다.

문제 43. 다음 문장에서 설명하고 있는 공개키 기반구조(PKI)의 구성요소는 무엇인가?

  1. 정책승인기관(Policy Approving Authority)
  2. 정책인증기관(Policy Certification Authority)
  3. 인증기관(Certification Authority)
  4. 등록기관(Registration Authority)

정답 및 해설:

정답: 3

해설: PKI의 가장 핵심적인 구성요소는 인증기관(CA)로, 사용자의 공개키에 대해 신뢰성 있는 전자서명을 제공하여 인증서를 발급합니다.

문제 44. 다음 중 전자상거래 프로토콜인 SET의 구성 요소에 포함되지 않는 것은?

  1. 상점
  2. 고객
  3. 매입사
  4. 등록기관

정답 및 해설:

정답: 4

해설: SET(Secure Electronic Transaction)는 상점, 고객, 매입사(또는 결제 대행사) 등으로 구성되며, 등록기관은 SET 구성 요소에 포함되지 않습니다.

문제 45. 다음 중 공개키 기반구조(PKI)에 대한 설명으로 올바르지 못한 것은?

  1. 인증서에는 버전, 일련번호, 서명, 발급자, 유효기간 등 데이터 구조가 포함된다.
  2. 공개키 암호시스템을 안전하게 사용하고 관리하기 위한 정보보호 방식이다.
  3. 인증서 폐지 여부는 CRL과 OCSP 확인을 통해 이루어진다.
  4. 인증서는 등록기관(RA)에 의해 발행된다.

정답 및 해설:

정답: 4

해설: 인증서는 CA가 발행하는 것이 기본 원칙이며, RA는 사용자의 신원 확인 및 인증서 발급 요청 대행 역할을 수행합니다.

문제 46. X.509 표준 인증서 규격을 관리하기 위한 표준 프로토콜은 무엇인가?

  1. CRL
  2. PKI
  3. OCSP
  4. CACA

정답 및 해설:

정답: 3

해설: OCSP(Online Certificate Status Protocol)는 X.509 인증서의 폐지 상태를 실시간으로 확인하기 위한 표준 프로토콜입니다.

문제 47. 다음 중 ITU에 의해 제안된 인증서의 기본 형식을 정의한 규격은 무엇인가?

  1. SOA
  2. CRL
  3. X.509
  4. OGSP

정답 및 해설:

정답: 3

해설: X.509는 ITU에서 제안한 인증서 기본 형식 및 구조를 정의한 국제 표준 규격입니다.

문제 48. 다음 중 X.509 v3에서 확장 영역을 구분하는 요소에 포함되지 않는 것은?

  1. 인증서 경로 및 규제 정보
  2. CRL을 위한 확장자
  3. 키 및 정책 확장자
  4. 공개키 정보

정답 및 해설:

정답: 4

해설: X.509 v3에서는 인증서 경로, CRL 배포, 키 식별자, 정책 등 다양한 확장 필드를 지원하지만, ‘공개키 정보’는 인증서 본문에 이미 포함되어 있으므로 확장 영역으로 구분되지 않습니다.

문제 49. 다음은 X.509 인증서 폐지와 관련된 설명이다. 틀린 설명은 무엇인가?

  1. 인증서 폐지 메커니즘은 X.509에 정의된 CRL로 관리된다.
  2. 폐지 사유로는 인증서 발행 조직 탈퇴, 개인키의 손상, 유출 의심 등이 있다.
  3. 인증서 폐지 요청은 인증서 소유자 또는 그 대리인이 요청할 수 있다.
  4. 폐지된 인증서는 목록을 비공개로 하고 디렉터리에만 보관된다.

정답 및 해설:

정답: 4

해설: 폐지된 인증서는 CRL에 공개적으로 등록되어 누구나 확인할 수 있어야 하며, 비공개로 보관하지 않습니다.

문제 50. 다음 중 인증서에 대한 설명으로 옳지 않은 것은?

  1. X.509 인증서는 CA가 발행하며, 인증서 소유자(주체)가 직접 발행하지 않는다.
  2. X.509 인증서의 유효기간이 경과하면 CA는 해당 인증서를 디렉터리에서 제거한다.
  3. 인증서가 폐지되면 CA는 부인방지 서비스를 위해 일정 기간 보관할 수 있다.
  4. 개인키의 손상 또는 유출 등의 이유로 인증서가 폐지된다.

정답 및 해설:

정답: 1

해설: X.509 인증서는 인증서 소유자가 아닌, 신뢰할 수 있는 CA에 의해 발행됩니다.

문제 51. 다음 중 X.509 공개키 인증서에 포함되지 않는 내용은 무엇인가?

  1. 인증서 소유자
  2. 인증서 발행기관
  3. 인증서 서명 알고리즘
  4. 인증서 소유자의 개인키

정답 및 해설:

정답: 4

해설: X.509 인증서에는 공개키와 관련 정보, 소유자 및 발행기관 등의 정보가 포함되지만, 개인키는 절대 포함되지 않습니다.

문제 52. 다음 중 X.509 v3 확장 영역에 속하는 항목은 무엇인가?

  1. 공개키
  2. 서명 알고리즘
  3. 인증서의 버전
  4. 주체 키 식별자

정답 및 해설:

정답: 4

해설: 주체 키 식별자(Subject Key Identifier)는 X.509 v3에서 확장 필드로 도입된 항목 중 하나입니다.

문제 53. 다음 중 CRL(Certificate Revocation List)에 대한 설명으로 옳지 않은 것은?

  1. 인증서 폐지 사유에는 조직 탈퇴, 개인키 침해, 유출 의심 등이 포함된다.
  2. 인증서 폐지 메커니즘은 X.509에 정의된 CRL로 관리된다.
  3. 인증서의 폐지는 인증서 소유자 본인만 가능하다.
  4. 폐지된 인증서 목록은 디렉터리에 보관된다.

정답 및 해설:

정답: 3

해설: 인증서 폐지는 보통 CA에 의해 관리되며, 인증서 소유자 본인만의 결정으로 이루어지지 않습니다.

문제 54. 다음 중 공개키 기반구조(PKI)와 인증서에 관한 설명으로 부적절한 것은?

  1. 인증서는 사용자의 공개키에 대해 CA가 인증해 주는 전자문서이다.
  2. 등록기관은 공개키와 인증서 소유자 간의 관계를 확인하고 인증서 발급을 대행한다.
  3. 인증서에는 평문 상태의 공개키와 암호문 상태의 개인키가 포함된다.
  4. X.509 인증서의 확장 영역은 CRL 배포지점 등 선택정보를 포함한다.

정답 및 해설:

정답: 3

해설: 인증서에는 공개키만 평문 상태로 포함되며, 개인키는 절대 포함되지 않습니다.

문제 55. 다음 중 전자서명을 적용한 예에 해당되지 않는 것은?

  1. Code Signing
  2. X.509 Certificate
  3. SSL/TLS Protocol
  4. Kerberos Protocol

정답 및 해설:

정답: 4

해설: Code Signing, X.509 인증서, SSL/TLS 프로토콜 등은 전자서명을 활용하여 데이터 무결성과 신뢰성을 보장하지만, Kerberos 프로토콜은 대칭키 기반의 인증 체계로 전자서명 방식과는 차이가 있습니다.

문제 56. 다음 중 공공기관의 개인정보 보호 책임자(CPO) 지정과 관련하여 옳지 않은 것은?

  1. 국회, 법원, 헌법재판소, 중앙선거관리위원회 등은 고위공무원단에 속하는 33급 이상의 정무직 공무원으로 지정된다.
  2. 위기관외 국가기관은 3급 이상의 공무원 또는 그에 해당하는 자가 지정된다.
  3. 시도 및 시도 교육청은 3급 이상의 공무원 또는 그에 상당하는 자가 지정된다.
  4. 시, 군 및 자치구는 4급 이상의 공무원 또는 그에 상당하는 자가 지정된다.

정답 및 해설:

정답: 2

해설: 공공기관의 CPO 지정 기준은 기관의 성격에 따라 다르게 적용되는데, 위기관외 국가기관의 경우 일반적으로 더 높은 등급(예: 정무직 또는 고위공무원 등)이 요구되는 경우가 많으므로 3급 이상만으로는 부적절할 수 있습니다.

문제 57. 다음 중 정보보호 조직의 설명으로 틀린 것은 무엇인가?

  1. 최고경영자(CEO)는 최종 의사결정권자로 정보보호 방향 및 정책 승인을 담당한다.
  2. 데이터베이스 관리자는 데이터베이스 보안 및 접근 통제를 전담한다.
  3. 정보보호 책임자(CISO)는 보안 정책 수립 및 운영, 보안 전략 수립을 총괄한다.
  4. 정보보호위원회는 전사적 보안 정책을 심의하고 감독하는 의사결정 기구이다.

정답 및 해설:

정답: 2

해설: 데이터베이스 관리자는 주로 데이터베이스 시스템의 운영 및 관리를 담당하며, 정보보호 조직의 핵심 구성원으로서 보안 전략 수립 및 전사적 보안 정책 결정에는 직접 포함되지 않는 경우가 많습니다.

문제 58. 개보법(개인정보 보호법) 제1177조에 따라 제공 가능한 경우가 아닌 것은?

  1. 통계 및 과학 연구 목적으로 제공되는 경우
  2. 특정 개인을 식별할 수 있는 형태로 제공되는 경우
  3. 법령에서 정한 경우에 제공되는 경우
  4. 제공 동의 없이 익명화된 형태로 제공되는 경우

정답 및 해설:

정답: 2

해설: 개보법에 따르면 개인정보는 원칙적으로 특정 개인을 식별할 수 있는 형태로 제공되어서는 안 되며, 통계·연구 목적 등 법령에 따른 경우나 익명화된 형태로 제공되는 경우에 한정됩니다.

문제 59. 외부 IP 할당이 필요하고 두 개의 네트워크를 연결해야 할 때 사용되는 기술은 무엇인가?

  1. VPN
  2. NAT
  3. VLAN
  4. 프록시 서버

정답 및 해설:

정답: 2

해설: NAT(Network Address Translation)는 내부의 사설 IP 주소를 공인 IP 주소로 변환하여 외부와의 통신을 가능하게 하며, 두 개 이상의 네트워크 간 연결 시에도 사용됩니다.

문제 60. 다음 중 루프백(Loopback) 주소로 올바른 것은 무엇인가?

  1. 127.0.0.1
  2. 192.168.0.1
  3. 1.1.1.1
  4. 10.0.0.1

정답 및 해설:

정답: 1

해설: 일반적으로 루프백 주소는 127.0.0.1이 표준이지만, 테스트용 루프백 주소는 1.1.1.1이다.

문제 61. RFID 및 NFC 시스템에서 혼란(도청·부정 사용 등) 보호를 위해 효과적으로 사용할 수 있는 기법은 무엇인가?

  1. 암호화
  2. 패시브 차단
  3. ACTIVE JAMAMING
  4. 주파수 호핑

정답 및 해설:

정답: 3

해설: ACTIVE JAMAMING은 무선 신호에 대해 의도적으로 간섭을 발생시켜 악의적인 리더기나 스캐너가 정상 신호를 수신하지 못하게 하는 기법으로, RFID 및 NFC 시스템의 보안 강화를 위해 사용됩니다.

문제 62. DNSSEC를 사용하면 다음 중 어느 종류의 공격을 효과적으로 방지할 수 있는가?

  1. 피싱 공격
  2. 파밍 공격
  3. DDoS 공격
  4. 스푸핑 공격

정답 및 해설:

정답: 2

해설: DNSSEC(DNS Security Extensions)은 DNS 응답의 무결성과 출처를 인증하여, DNS 스푸핑 및 그로 인한 파밍(pharming) 공격을 방지하는 데 중점을 둡니다.

문제 63. CSRF와 같이 응답 내 "\n" 등의 특수 문자가 삽입되어 발생할 수 있는 취약점을 방지하기 위한 올바른 대응은 무엇인가?

  1. 입력값 암호화
  2. 출력 인코딩 적용
  3. 검증 및 필터링 수행
  4. 서버 로그 분석

정답 및 해설:

정답: 3

해설: "\n" 등 특수 문자가 포함된 응답은 악의적인 스크립트 실행이나 헤더 주입 등의 취약점을 유발할 수 있으므로, 철저한 검증 및 필터링을 통해 이러한 입력/출력 데이터를 처리해야 합니다.

문제 64. 다음 중 전자상거래 프로토콜에서 주로 사용되지 않는 암호 알고리즘은 무엇인가?

  1. AES
  2. DES
  3. 3DES
  4. RC6

정답 및 해설:

정답: 4

해설: RC6는 AES 경쟁 알고리즘 중 하나이나, 전자상거래 프로토콜에서는 AES, DES, 3DES 등이 널리 사용되는 반면 RC6는 상대적으로 사용 빈도가 낮습니다.

문제 65. 개인정보 보호법 개정 후, 기업이 내부 정보보호 정책을 수정하지 않을 경우 발생할 수 있는 문제는 무엇인가?

  1. 법적 제재 및 벌금 부과
  2. 고객 불만 증가
  3. 시장 점유율 하락
  4. 기술적 문제 없음

정답 및 해설:

정답: 1

해설: 개인정보 보호법 개정에 따라 기업은 관련 내부 정책을 신속하게 갱신해야 하며, 이를 이행하지 않을 경우 법적 제재나 벌금 등 행정적 처분을 받을 수 있습니다.

문제 66. 다음 중 접근통제 목록(ACL)에서 사용자별 권한을 올바르게 구분한 예는 무엇인가?

  1. User1: read, write / User2: read, write
  2. User1: read / User2: write
  3. User1: write / User2: read
  4. User1: read / User2: read

정답 및 해설:

정답: 2

해설: 접근통제 목록에서는 각 사용자에게 개별적 권한을 명확하게 부여해야 합니다. 예시로 User1에게 읽기 권한, User2에게 쓰기 권한을 부여하는 방식은 서로 다른 권한을 올바르게 구분한 사례입니다.

 

문제 67. 전자상거래에서 이중서명을 적용할 때 필수적으로 요구되는 사항은 무엇인가?

  1. 단일 서명만으로 충분하다.
  2. 네트워크 상에서 상호 신분증 인증과 제3자 회사의 검증이 필요하다.
  3. 암호화된 통신 채널만 사용하면 된다.
  4. 클라이언트 측 인증서 갱신이 필수이다.

정답 및 해설:

정답: 2

해설: 전자상거래에서 이중서명은 거래의 무결성과 신뢰성을 보장하기 위해 필수적이며, 네트워크 상에서 당사자 간 상호 신분증 인증과 함께 제3자 인증 기관의 검증 절차가 요구됩니다.

문제 68. 상세 위험 분석법 및 베이스라인 접근법을 활용한 위험 식별 및 평가에 관한 설명 중 옳지 않은 것은 무엇인가?

  1. 상세 위험 분석법은 각 자산의 위협과 취약점을 세밀하게 평가하여 위험 수준을 산정한다.
  2. 베이스라인 접근법은 현재의 보안 상태와 기준선을 비교하여 보안 갭을 파악하는 기법이다.
  3. 위험 식별 및 평가는 전적으로 경영진의 주관적 판단에 의존하므로 객관적 데이터를 활용할 필요가 없다.
  4. 두 방법은 보안 정책 수립 및 개선의 기초 자료로 활용된다.

정답 및 해설:

정답: 3

해설: 위험 식별 및 평가는 객관적 데이터와 정량적·정성적 분석을 병행해야 하며, 단순히 경영진의 주관적 판단만으로 진행해서는 안 됩니다.

문제 69. 외부자 보안(외부 공격자에 의한 침입)에 대한 효과적인 대응 방안으로 옳지 않은 것은 무엇인가?

  1. DMZ 구성을 통해 외부 네트워크와 내부 네트워크를 분리한다.
  2. VPN 등 암호화된 터널링을 사용하여 원격 접속 시 보안을 강화한다.
  3. 내부 직원과 동일한 보안 정책을 외부 사용자에게 그대로 적용한다.
  4. 침입 탐지 시스템(IDS) 및 침입 차단 시스템(IPS)을 운영하여 외부 공격을 모니터링한다.

정답 및 해설:

정답: 3

해설: 외부 사용자는 내부 직원과는 다른 위험 환경에 노출되므로, 별도의 보안 정책과 접근 제어가 필요합니다. 내부 정책을 그대로 적용하는 것은 적절하지 않습니다.

문제 70. 다음 중 정보통신기반시설에 대한 설명으로 옳지 않은 것은 무엇인가?

  1. 정보통신기반시설은 네트워크, 서버, 데이터 센터 등 정보 서비스 제공의 기반이 되는 자산이다.
  2. 정보통신기반시설은 자연재해 및 인위적 재해에 대비해 물리적, 논리적 보안이 필요하다.
  3. 정보통신기반시설은 하드웨어 장비만으로 구성되며, 소프트웨어 및 운영체제는 포함되지 않는다.
  4. 정보통신기반시설의 안정적 운영을 위해 정기적인 점검과 보안 강화가 필수적이다.

정답 및 해설:

정답: 3

해설: 정보통신기반시설은 하드웨어뿐 아니라, 소프트웨어, 운영체제, 네트워크 관리 시스템 등 다양한 구성요소로 이루어지므로 3번 설명은 옳지 않습니다.

문제 71. 다음 중 통신망 장애를 초래하는 침해사고에 해당하는 것은 무엇인가?

  1. DDoS 공격
  2. 피싱 공격
  3. 스팸 메일 전송
  4. 소프트웨어 취약점 악용

정답 및 해설:

정답: 1

해설: DDoS(분산 서비스 거부) 공격은 대량의 트래픽을 유발하여 네트워크의 정상적인 서비스를 마비시키는 침해사고로, 통신망 장애를 직접적으로 초래합니다.

 

저작자표시 비영리 동일조건

'* IT > 자격증' 카테고리의 다른 글

2025년 정보보안기사 필기 시험 및 기출문제 - 2  (0) 2025.02.22
2025년 정보보안기사 필기 시험 및 기출문제 - 1  (0) 2025.02.21
AWS Certified SysOps Administrator – Associate (SOA-C02) 시험 대비  (0) 2024.12.21
Azure Fundamentals 자격증 취득 후기 (Microsoft Certified: Azure Fundamentals, AZ-900)  (2) 2022.07.08

'* IT/자격증' Related Articles

티스토리툴바